Протокол: ошибка, которая может вывести все ваши токены, влияет на «тысячи» сайтов

Добро пожаловать в The Protocol, еженедельный обзор CoinDesk самых важных новостей в области разработки технологий криптовалют. Меня зовут Марго Нейкерк, я репортер CoinDesk.

В этом выпуске:

• Новая ошибка в React, способная исчерпать все ваши токены, затрагивает «тысячи» веб-сайтов
• Ripple расширяет стабильную монету RLUSD на сумму 1,3 млрд долларов до Ethereum L2 через Wormhole в рамках мультичейн-стратегии
• Aave DAO Отражает Нападки по Мере Сдвига Платежей Интерфейса от Казначейства
• Проект NFT Pudgy Penguins захватывает Las Vegas Sphere в праздничной кампании

Новости сети

ОШИБКА, КОТОРАЯ МОЖЕТ ОПУСТОШИТЬ КОШЕЛЁК, КАСАЕТСЯ ТЫСЯЧ САЙТОВ: A критическая уязвимость в React Server Components активно эксплуатируется несколькими группами угроз, подвергая немедленной опасности тысячи веб-сайтов — включая криптоплатформы — где пользователи могут столкнуться с полной потерей своих активов в случае воздействия уязвимости. Эта ошибка, отслеживаемая под идентификатором CVE-2025-55182 и получившая прозвище React2Shell, позволяет злоумышленникам выполнять код удалённо на затронутых серверах без аутентификации. Поддерживающие React разработчики раскрыли информацию о проблеме 3 декабря и присвоили ей высший возможный уровень серьёзности. Вскоре после раскрытия GTIG зафиксировала широкомасштабную эксплуатацию уязвимости как со стороны финансово мотивированных преступников, так и предполагаемых групп, поддерживаемых государством, нацеленных на непатченные приложения React и Next.js в облачных средах. React Server Components используются для запуска частей веб-приложения непосредственно на сервере, а не в браузере пользователя. Уязвимость связана с тем, как React декодирует входящие запросы к этим серверным функциям. Проще говоря, злоумышленники могут отправить специально сформированный веб-запрос, который обманывает сервер, заставляя его выполнять произвольные команды или фактически передавая контроль над системой злоумышленнику. Ошибка затрагивает версии React с 19.0 по 19.2.0, включая пакеты, используемые популярными фреймворками, такими как Next.js. Одного лишь наличия уязвимых пакетов в системе зачастую достаточно для возможности эксплуатации.— Шаурья Малва Читать далее.

РИППЛ ПРИХОДИТ НА ETH L2S: Ripple, компания, ориентированная на платежные решения в блокчейн-пространстве и тесно связанная с XRP Ledger (XRP), выводит свою стейблкоин, поддерживаемую долларом США, на блокчейны второго уровня (L2) Ethereum, включая Optimism, Base от Coinbase, Ink от Kraken и Uniswap's Unichain, стремясь глубже интегрировать токен стоимостью 1,3 миллиарда долларов в многоланцовую экосистему. Компания заявила, что начинает с тестовой фазы перед более широким запуском, намеченным на следующий год, при условии получения одобрения регулирующего органа — Департамента финансовых услуг штата Нью-Йорк (NYDFS). Пилотный проект интегрирует стандарт Wormhole Native Token Transfers (NTT), который позволяет RLUSD перемещаться нативно между цепочками без необходимости оберток или синтетических активов. Это способствует поддержанию ликвидности и контроля с точки зрения регулирования, одновременно поддерживая ряд децентрализованных финансовых (DeFi) кейсов на сетях, оптимизированных под скорость и снижение издержек. Стейблкоины стремительно развиваются как ключевой элемент цифровой финансовой инфраструктуры, связывающей традиционные финансы и криптоэкономику. Это класс криптовалют общей стоимостью 300 миллиардов долларов, цены которых привязаны к фиатным валютам, таким как доллар США. — Криштиан Шандор Читать далее.

ДИСКУССИЯ О ИНТЕРФЕЙСЕ ПРОТОКОЛА AAVE НАСТУПАЕТ НОВЫЙ ЭТАП: Внутри DAO Aave разгорается дебаты относительно того, кто контролирует интерфейс протокола и кто финансово извлекает из него выгоду. Вопрос возник после того, как в начале этого месяца Aave Labs интегрировала агрегатор децентрализованных бирж CoWSwap в интерфейс app.aave.com, заменив ранее используемый Paraswap для маршрутизации свопов с обеспечением. В то время как изменение было представлено как улучшение пользовательского опыта с более качественным исполнением и защитой от MEV, делегаты позже отметили, что связанные с обменом комиссии больше не поступают в казну Aave DAO. An открытое письмо делегат Orbit EzR3aL заявил, что интеграция ввела фронтенд- комиссии примерно в 15–25 базисных пунктов, которые поступают внешнему получателю, а не DAO. Цитируемые в сообщении данные с блокчейна показывали еженедельное распределение эфира, связанное с механизмом партнерских комиссий CoWSwap на нескольких сетях, что потенциально может составлять миллионы долларов ежегодно. Этот излишек с тех пор снизился, поскольку маршрутизация сместилась к модели пакетного аукциона CoWSwap, которая ставит приоритет на уверенность исполнения, а не на улучшение цены. Однако в центре дискуссии — различие, которое, по словам Aave Labs, всегда существовало: протокол против продукта. В ответ на форуме, Aave Labs заявила, что интерфейс управляется, финансируется и поддерживается независимо от протокола, которым управляет DAO. В рамках этой модели DAO контролирует параметры на цепочке, процентные ставки и комиссии на уровне протокола, в то время как Labs сохраняет дискреционные полномочия над дополнительными функциями на уровне приложения, такими как маршрутизация свопов и монетизация интерфейса. «Любая монетизация применяется только к дополнительным функциям», — написала Aave Labs, утверждая, что такое разделение сохраняет нейтральность протокола и предотвращает централизацию экономического контроля на базовом уровне. Однако критики утверждают, что на практике ситуация была иной. Марк Целлер из Инициативы Aave Chan (ACI) заявил, что давно существовало ожидание, что монетизация, связанная с фронтендом aave.com — включая избыточность свопов и исполнение при поддержке флеш-кредитов — будет приносить пользу DAO, особенно учитывая, что бренд, легитимность управления и большая часть базовой разработки финансировались токен-холдерами. — Шаурья Малва Читать далее.

ПАДЖИ ПИНГВИНЫ ЗАХВАТЫВАЮТ ВЕГАС: Когда-то прорывной проект невзаимозаменяемых токенов (NFT) во время криптобума 2021 года, Pudgy Penguins обращает внимание на реальную видимость с помощью высокопрофильного размещения рекламы на арене Las Vegas Sphere во время рождественской недели. Лишь немногие бренды, связанные с криптовалютой, смогли занять рекламное пространство на Sphere — огромной площадке с LED-покрытием, известной своими иммерсивными шоу и выступлениями таких коллективов, как U2 и Eagles. A активация, ориентированная на биткойн прошла в июле, но другие примеры были редки. Реклама Pudgy Penguins будет транслироваться в течение нескольких дней, начиная с 24 декабря, и будет включать несколько анимированных сегментов, согласно источнику, знакомому с сделкой. Бренд потратил примерно 500 000 долларов на размещение — это стандартная сумма для показа на Sphere. «Это своего рода демонстрация того, что криптопроект может превзойти рамки криптовалюты и затронуть сердца и умы обычных потребителей», — заявил CoinDesk Ведант Мангалдас, руководитель отдела стратегии и бренда Pudgy Penguins. Он отметил, что сделка стала возможной благодаря тому, что за проектом стоит «реальный бизнес». – Хелен Браун Читать далее.

В Других Новостях

• Securitize предложит первую полностью соответствующую нормативам onchain-платформу для торговли реальными публичными акциями в начале 2026 года, размывая грани между традиционными рынками и инфраструктурой Web3. Система компании позволяет инвесторам напрямую владеть токенизированными акциями публичных компаний, выпущенными и зарегистрированными onchain, а также торговать ими через интерфейс на базе блокчейна, согласно объявлению. В отличие от синтетических моделей токенов, которые отслеживают цены акций через офшорные структуры или производные инструменты, подход Securitize обеспечивает полное юридическое право собственности. Каждая акция выпускается самой компанией и фиксируется в её официальной таблице капитализации, сообщили в компании. «Это не синтетический трекер цены или долговое обязательство перед кастодианом», — говорится в заявлении Securitize. «Это настоящие, регулируемые акции: выпущенные в блокчейне, зарегистрированные непосредственно в таблице капитализации эмитента и торгуемые через знакомый опыт в формате Web3 swap.» Это означает, что владельцы токенов получают реальные права акционеров, включая дивиденды и право голоса, а их активы находятся в самостоятельном хранении, без посредников, повторно размещающих акции за кулисами. Тем не менее, активы имеют разрешённый статус и могут передаваться только между соответствующими требованиям, находящимися в белом списке кошельками. — Франческо Родригес Читать далее.
• Кредитный гигант Visa (V) запускает расчеты в USDC в Соединенных Штатах, позволяя эмитентам и эквайерам рассчитывать обязательства перед картельной сетью в стейблкоине, привязанном к доллару, выпускаемом Circle. Этот шаг ознаменовывает американскую фазу программы расчетов в стейблкоинах, которая, согласно пресс-релизу Visa, достигла годового темпа оборота в 3,5 миллиарда долларов по состоянию на 30 ноября. Новая опция предназначена для обеспечения банкам и финтех-компаниям почти мгновенного перемещения средств, еженедельных расчетов без выходных и более предсказуемой ликвидности в выходные и праздничные дни, при этом сохраняя неизменным потребительский опыт использования карт. — Будет ли Кэнни Читать далее.

Регулирование и Политика

• Американский сенатор Элизабет Уоррен имеет потребовал провести новое национальное расследование в области безопасности США в угол криптосектора, указав на опасения по поводу PancakeSwap, децентрализованной биржи, которую она отметила как пытающуюся продвигать монеты, выпущенные компанией World Liberty Financial Inc., связанной с президентом Дональдом Трампом. Она заявила биржа, который работает на нескольких блокчейнах и является одним из ключевых протоколов в сети Binance, должен быть подвергнут проверке на предмет возможной связи с «любым ненадлежащим политическим воздействием администрации Трампа на решения по вопросам правоприменения», — сказала Уоррен в письме в понедельник министру финансов Скотту Бессенту и генеральному прокурору Пэм Бонди, попросив их провести расследование, отражая подобный запрос, в котором она участвовала в прошлом месяце относительно WLFI. «По мере того как Конгресс рассматривает законодательство о структуре крипторынка — включая правила по предотвращению использования террористами, преступниками и государства-изгоями децентрализованных финансов (DeFi) для финансирования своей деятельности — крайне важно понять, насколько серьезно вы исследуете эти риски», — написал Уоррен, являющийся старшим демократом в Комитете Сената по банковскому делу, который должен подготовить и одобрить законопроект до того, как его рассмотрит весь Сенат. — Джесси Гамильтон Читать далее.
• Федеральная корпорация по страхованию депозитов США запустила первое официальное предложение по правилу вытекающий из нового закона, регулирующего эмитентов стейблкоинов, при этом его совет директоров проголосовал за открытие 60-дневного периода общественного обсуждения своей системы обработки заявок от регулируемых банков, которые стремятся выпустить стейблкоины через дочерние компании. Агентство — во главе с исполняющим обязанности председателя Трэвисом Хиллом, также являющимся кандидатом президента Дональда Трампа на постоянную должность — соберет комментарии и рассмотрит их перед тем, как выпустить окончательное правило. Вторник предложение, одобренный всеми тремя членами сокращённого состава совета директоров, установит процедуры для принятия заявок, их рассмотрения в течение 120-дневного срока одобрения и предоставления процесса апелляции для отклонённых заявителей. «В соответствии с предложением, FDIC примет адаптированный процесс подачи заявок, который позволит FDIC оценивать безопасность и устойчивость предлагаемых заявителем видов деятельности на основе установленных законом факторов, одновременно минимизируя регуляторную нагрузку на заявителей», сказал Хилл, чья номинация может быть подтверждена Сенатом уже на этой неделе. Закон «Руководство и установление национальных инноваций для стабильных монет США» (GENIUS) стал первым значительным законодательным актом в сфере криптовалют, одобренным Конгрессом, и установил сложную систему регулирования для компаний, желающих выпускать стабильные монеты — токены, привязанные к доллару, которые являются ключевыми для транзакций в секторе цифровых активов. Для застрахованных депозитарных учреждений назначенным регулятором является FDIC. — Джесси Гамильтон Читать далее.

Календарь

• 10-12 февраля 2026 года: Консенсус, Гонконг
• 17-21 февр. 2026 г.: EthDenver, Денвер
• 30 марта - 2 апреля 2026 года: EthCC, Канны
• 15-16 апреля 2026 г.: Парижская блокчейн-неделя, Париж
• 5-7 мая 2026 года: Консенсус, Майами